Dass „Ashley Madison“, das Seitensprungportal, von dem nach einem Hackerangriff Abermillionen Nutzerdaten, Teile des Seitenquellcodes und interne E-Mails der Betreiber offenliegen, fragwürdige Geschäftspraktiken kultivierte, war schon länger bekannt: spätestens, seit eine einstige Mitarbeiterin 2012 vor Gericht von massenweise erfundenen weiblichen Nutzerprofilen für die vor allem von Männern besuchte Plattform berichtete. Die von „The Impact Team“ vergangene Woche gehackten Daten belegten, dass „Ashley Madison“ nicht, wie den Nutzern versprochen, persönliche Informationen gegen Gebühr löschte. Nun stellt sich heraus, dass „Ashley Madison“ möglicherweise nicht nur gehackt wurde, sondern auch selbst hackte.

Die Betreiber des Portals hätten seit Jahren gewusst, dass ihre Seite Sicherheitslücken aufweise, schreibt der auf IT-Sicherheit spezialisierte Blogger Brian Krebs und beruft sich auf E-Mails aus dem von den Hackern publizierten Konvolut. In diesen lässt sich nachlesen, dass der ehemalige Leiter des Online-Sicherheitsteams des Unternehmens, Raj Bhatia, nach eigenen Angaben Datenbanken des Konkurrenten „Nerve.com“ gehackt habe, den „Avid Life Media“, die Betreiberfirma von „Ashley Madison“, damals kaufen wollte. „Ich habe die gesamten Nutzerdaten“, schrieb Bhatia seinem Chef Noel Bidermann. Der erwog, den Wettbewerber von dessen Verwundbarkeit in Kenntnis zu setzen. Welchen weiteren Gang die Dinge genommen haben und ob sie nur eine die Grenzen der Legalität überschreitende Sicherheitsprüfung im eigenen Interesse war, enthüllen die E-Mails nicht. „Ashley Madison“ gab zu, dass sie echt sind, doch seien sie aus dem Zusammenhang gerissen. Sicher ist nur, dass die mutmaßlich abgegriffenen Informationen nicht an die Öffentlichkeit gelangten.

Alle stürzen sich auf das Datenpaket

Wie die gestohlenen „Ashley Madison“-Daten ihren Weg in dieselbe – nämlich vom nur mit Tor-Browsern zugänglichen „dark web“, wo der Hack zuerst auftauchte, ins allen offenstehende Internet – fanden, lässt sich inzwischen minutiös nachverfolgen. Das Online-Portal „Fusion“ zeichnet die Stationen nach: Das 30-Gigabyte-Paket erbeuteter Daten wurde erst vom „Quantum Magazine“ im Tor-Netzwerk aufgeschnürt, dann von dem Twitter-Nutzer „Rufo“ nach E-Mails durchwühlt, und schon taten es viele ihm gleich und stellten Listen ins Internet. Damit war aus dem Sack, was nicht mehr in ihn wird zurückgestopft werden können.

Welche Folgen die Massenentblößung von Daten Seitensprungwilliger – Anschriften, E-Mail-Adressen, Kreditkartennummern, sexuelle Vorlieben von an die vierzig Millionen Personen – zeitigt, lässt sich nun täglich beobachten. Die kanadische Polizei ermittelt in zwei Suizidfällen, die in Zusammenhang mit dem Datendiebstahl stehen könnten. Ein amerikanischer Realityshow-Darsteller tut öffentlich Abbitte. Hunter Biden, der Sohn des amerikanischen Vizepräsidenten, beteuert auf CNN, dass der „Ashley Madison“-Account mit seiner E-Mail-Adresse eine Fälschung sei. Die konservative Website „Breitbart News“ hat ihn in Erklärungsnot gebracht: Sie hatte geleakte Nutzerdaten gezielt nach Prominenten durchforstet.

Erpresser sind am Werk

Das hat das Klatsch-Portal „Dailymail“ auch getan und den Ehemann eines Fernsehsternchens geoutet. Andere erhalten E-Mails wie diese, die ein Leser der Website „Coindesk“ zuspielte: „Leider wurden Ihre Daten im ,Ashley Madison‘-Hack geleakt, nun habe ich sie. Wenn Sie wollen, dass ihr Lebenspartner nichts davon erfährt, überweisen Sie 450 Dollar in Bitcoins an folgende Adresse...“ In Amerika und Kanada haben Nutzer gegen „Ashley Madison“ wegen Fahrlässigkeit im Umgang mit ihren Daten geklagt; sie befolgen damit ironischerweise einen Ratschlag der sich als Sittenrichter gerierenden Hacker, die die Betroffenen ebenfalls dringend verklagen sollten, gerade weil sie unbekannt sind.

Zeitungen und Nachrichtenportale bringen Geschichten betrogener Ehefrauen und geouteter Männer („Meine Ehe ist ruiniert!“) oder unterbreiten Ratschläge, was zu tun sei, wenn der eigene Name auf einer der Listen stehe. Die Polizei anrufen, wenn man erpresst werde, lautet ein naheliegender Tipp. Sonst läuft alles darauf hinaus, dass man nichts tun könne.

Und das ist wahrscheinlich die einzige Lehre, die aus der Affäre um „Ashley Madison“ zu ziehen ist. Nicht weil eine E-Mail-Adresse auf einem Portal, das keine Identitätskontrolle betreibt, nichts aussagt. Sondern weil das einzig Relevante an dem, was „The Impact Team“ aufgebracht hat, wahrscheinlich betrügerische Praktiken eines Portals sind. Die hätten die Hacker, ginge es ihnen wirklich um Moral, gezielt öffentlich machen können – ohne Millionen Privatpersonen an den Pranger zu stellen. Deren mögliche Affären die Öffentlichkeit nichts angehen. Es wäre gut, wenn es eine stillschweigende Übereinkunft gäbe, die privaten „Ashley Madison“-Daten schlicht zu ignorieren. Oder für unerheblich zu erklären. Doch das wird nicht geschehen.